API接口渗透测试_api接口,泄漏服务器版本信息吗

• XML，少见
• json，常见，现在 Web 应用基本使用这种形式的 API。

1.4 MVC、MVP、MVVM

Web 应用程序和 APP 应用程序的 API 跟目前的流行框架和模式相关，主要有3种模式：MVC、MVP、MVVM。

MVC 将整个应用分成 Model、View 和 Controller 三个部分，而这些组成部分其实也有着几乎相同的职责。

• 视图：管理作为位图展示到屏幕上的图形和文字输出；
• 控制器：翻译用户的输入并依照用户的输入操作模型和视图；
• 模型：管理应用的行为和数据，响应数据请求（经常来自视图）和更新状态的指令（经常来自控制器）；

此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。想了解更多可以在网上查找相关资料。

2 API 测试环境和测试工具

2.1 Web Service 测试

2.1.1 找 Webservice 接口

Google hacking

• inurl:jws?wsdl
• inurl:asmx?wsdl
• inurl:aspx?wsdl
• inurl:ascx?wsdl
• inurl:ashx?wsdl
• inurl:dll?wsdl
• inurl:exe?wsdl
• inurl:php?wsdl
• inurl:pl?wsdl
• inurl:?wsdl
• filetype:jws
• filetype:asmx
• filetype:ascx
• filetype:aspx
• filetype:ashx
• filetype:dll
• filetype:exe
• filetype:php
• filetype:pl
• filetype:wsdl wsdl

fuzzing

爬虫

2.1.2 测试工具

涉及主要工具：

• Soap UI PRO，渗透测试流程的发起，通信报文的解析、集合payload之后通信报文的重新组装等，14天试用，可以做自动化测试。
• SoapUI Free，手工测试
• SOAPSonar，SOAP UI 的替代。
• Burp Suite，代理拦截，跟踪通信过程和结果，对通信进行重放和二次处理等。
• WSSAT
• WS-Attacker

2.1.3 测试项目

• Fuzzing
• XSS /SQLi/ Malformed XML
• File Upload
• Xpath Injection
• XML Bomb (DoS)
• Authentication based attacks
• Replay attacks
• Session fixation
• XML Signature wrapping
• Session timeout
• Host Cipher Support/ Valid Certificate/ Protocol Support
• Hashing Algorithm Support

2.1.4 手工测试方法

主要使用 Soap UI Open Source，有安全测试Case，需要配置 SOAP 代理到 Burp，数据流，现在的版本是5.4.0。

代理配置

可以用 Burp 重放 SOAP 的探测 Payload。
使用 Soap UI Open Source，测试步骤：

• 创建工作空间
• 新建 SOAP 项目
• 增加 WSDL，配置名称和 WSDL 链接
• 选择要测试的 TestSuite，增加一个安全测试

2.1.5 自动化测试

SOAP 配置，2步，“File”-“Preference”-“Proxy”，设置 Burp 代理

直接在 Soup UI 主菜单上选择运行一个测试。

在弹出窗口中输入 WSDL 地址。

SUAP UI 会自动探测接口。然后在项目-测试Case的右键菜单中选择安全测试

运行安全测试。

Burp 代理会捕获所有的测试请求

其他工具介绍

WSSAT，选择加载存在 WSDL 列表的文件，运行。

WS-Attacker

AWVS 的扫描也能直接测试 Web Service

2.2 RESTful API 测试

2.2.1 测试工具

常见的浏览器插件

• Chrome Restlet Client

• Firefox RESTClient

客户端工具

• Postman

• Swagger

通常使用 Postman 的情况多些，有机会的话问下开发如何配置测试环境，直接配置一套一样的。

Postman 的代理配置：

3 常见 API 相关漏洞和测试方法

还是主要以 Restful API 说明。

3.1 逻辑越权类

本质上可以说是不安全的直接对象引用，可以通过修改可猜测的参数获取不同参数下的响应结果。参数可以是用户名、用户 ID，连续的数字，变形的连续数字（各种编码或哈希），通过直接修改参数值完成越权的操作。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=189225
• https://wooyun.shuimugan.com/bug/view?bug_no=150462
• https://wooyun.shuimugan.com/bug/view?bug_no=140374
• https://wooyun.shuimugan.com/bug/view?bug_no=106709

3.2 输入控制类

XXE，Restful API 的注入漏洞，XSS，溢出，特殊字符的处理。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=211103
• https://wooyun.shuimugan.com/bug/view?bug_no=132270
• https://wooyun.shuimugan.com/bug/view?bug_no=8714

3.3 接口滥用

没有请求频率限制导致的各种爆破和遍历，如短信验证码爆破、登录爆破、手机号遍历、身份证遍历等。

示例：

• https://wooyun.shuimugan.com/bug/view?bug_no=141419
• https://wooyun.shuimugan.com/bug/view?bug_no=66571
• https://wooyun.shuimugan.com/bug/view?bug_no=36058
• https://wooyun.shuimugan.com/bug/view?bug_no=147334

3.4 信息泄露

包括越权导致的信息泄露、畸形请求导致的报错响应。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

/wooyun.shuimugan.com/bug/view?bug_no=147334

3.4 信息泄露

包括越权导致的信息泄露、畸形请求导致的报错响应。

[外链图片转存中…(img-8JJ3U9IY-1719209491996)]
[外链图片转存中…(img-47s4REIC-1719209491997)]
[外链图片转存中…(img-heZOgEXP-1719209491998)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！